Александр, здравствуйте. Очень хороший материал но по моему мнению вы немного ошиблись или просто заговорились и в документе есть ошибка, аутентификация узлов осуществляется с использованием PSK, открытого ключа или сертификат + цифровая подписи. У Вас же написано что хэш + HMAC. И одна небольшая просьба, можете заново выложить документ, по вашей ссылке перехожу, документ отсутствует. Спасибо за качественный материал.
@user-de9qh7sm4rАй бұрын
Здравствуйте, рад что вам понравилось, я ошибаюсь довольно часто, а заговариваюсь и того больше, но к сожалению не в этот раз. (With pre-shared keys, the same pre-shared key is configured on each IPSec peer. IKE peers authenticate each other by computing and sending a keyed hash of data that includes the pre-shared key) <- www.ciscopress.com/articles/article.asp?p=25474&seqNum=3#:~:text=With%20pre%2Dshared%20keys%2C%20the,includes%20the%20pre%2Dshared%20key. А также советую глянуть и этот документ, он не сильно ёмкий но отлично помог мне разложить некоторые вещи по полкам в голове -> www.nic.ad.jp/ja/tech/ipa/RFC4868EN.html. Что касается заметок -> docs.google.com/document/u/0/d/108dROf2nXaD2q4-Wa1yakkmDkQlcWuBdkonexB5gRXo/mobilebasic Думаю больше не потеряются ).
@user-ze1gs8se8pАй бұрын
@@user-de9qh7sm4r Спасибо за ответ, но хотел бы уточнить одну деталь) например, в расчетах SKEYID (SKEYID = prf (pre-shared-key, Ni_b | Nr_b)) мы используем PRF, по сути это и есть HMAC ?
@user-de9qh7sm4rАй бұрын
@@user-ze1gs8se8p Был рад помочь, prf(..) - это псевдослучайная функция с ключом (HMAC). хеш-функция - используется для генерации детерминированного вывода, который выглядит псевдослучайным. prf используются как для получения ключей, так и для для аутентификации. Да вы правильно поняли, это и есть HMAC, просто для создания этого хэша используется дополнительные поля по мимо самого ключа, я на память всего этого не помню уже, но я думаю что дальше я рассматриваю интересующую вас тему. Как она может быть псевдорандомной наверное спросите вы, отвечая на этот вопрос, я бы сказал что рандомность тут вносит сам ключ, биты которого смещаются по кругу, что позволяет получить каждый раз относительно новый ключ по истечению life-time первой фазы.
@user-ze1gs8se8pАй бұрын
@@user-de9qh7sm4r Спасибо за развернутый ответ )
@user-tq2im5cm7lАй бұрын
Приветствую Александр, документики можно где нибудь скачать?)
@user-de9qh7sm4rАй бұрын
Привет!, дап, документ всего один - dropmefiles.com/QW5Wl
@user-tq2im5cm7lАй бұрын
@@user-de9qh7sm4r Спасибо)
@user-tq2im5cm7lАй бұрын
@@user-de9qh7sm4r я вот тут подумал-это же отличная шпаргалка для собеседований, сделаю для некоторых протоколов)
@pulsecity81042 ай бұрын
Здраствуйте.спасибо за такой отличный курс.не могли бы вы пожалуйста поделится с этим блокнотом с заметками?
@user-de9qh7sm4r2 ай бұрын
Здравствуйте, рад что вам понравилось, заметки которые вы просили -dropmefiles.com/zfAzE
@a-bulgakov3 ай бұрын
На 26:47 правильнее говорить не "минимальный размер пакета 64 бита" а "минимальный размер КАДРА 64 БАЙТА". Из за путаницы в бит/байт рассуждения далее не совсем корректные, но общий смысл в целом остается тот же. Тем не мене спасибо за материал, отличный контент!!
@user-de9qh7sm4r3 ай бұрын
Доброго времени суток, что касается рассуждений о пакете или кадре, я использую контекст темы - которая IPSec/ESP, который сам по себе является протоколом 3-го уровня модели OSI, что приводит нас к пакету, ну а что касается бита/байта вы правы, у меня есть этот грешок (заговариваюсь), спасибо за обратную связь :)
@MYartcev3 ай бұрын
Спасибо за материал! Все разжевано и с примерами. Прям респектище!
@NawmanProd5 ай бұрын
Этот курс по IPSec на вес золота, спасибо!
@orxan38665 ай бұрын
@antoha94866 ай бұрын
Автор молодец. Большое спасибо за труд и прекрасное изложение материала.
@yatakhocu42916 ай бұрын
Александр - спасибо тебе огромное за твою работу и расшифровку данной темы!
@antoha94866 ай бұрын
Ну красота! Пока всё понятно. Автору спасибо за труд.
@antoha94866 ай бұрын
Господи, как же долго я искал именно такой формат и такую подачу материала. Огромное спасибо автору за труд.
@user-de9qh7sm4r6 ай бұрын
Это только первое видео, дальше говорят все усложняется и становится менее понятным )
@uranc7 ай бұрын
Александр, спасибо вам большое за лекцию! мне прям зашло!)) Вы очень хорошо все структурируете и объясняете! а такие мелочи про 1500 бит (а не байт) просто ерунда))
@user-de9qh7sm4r7 ай бұрын
Спасибо и вам за отзыв, рад что вам было полезно, да эта беда у меня есть, я заговариваюсь и иногда мысли об одном, а говорю о другом, писал эти видео почти подряд насколько я помню, думаю это не первая и не последняя моя ошибка в этих видео )), извините прийдется додумывать иногда )
@Andre4s123 Жыл бұрын
Важно ещё сказать про ospf+ipsec, столкнулся с тем что трафик ospf без gre over ipsec не шифровался....
@user-de9qh7sm4r Жыл бұрын
Привет, я думал над этим, и даже пару раз натыкался на эту проблему в курсе, хотел рассказать но подумал что просто показать команду идея плохая не объясняя как она работает, а для того чтоб объяснить как оно работает нужно отдать теорию OSPF, и логику распространения LSA, так как урок который я выложил был про IPSec, я решил оставить тему OSPF на будущее (когда время будет), но замечание справедливое, дальше в уроках я использую все техники создания IPSec туннелей: Point-to-Point Layer 3: Nativ IPSec (Туннель поднимается средствами ESP&AH) IPSec over GRE (Generic Routing Encapsulation) GRE IPSec over VTI (Virtual Tunnel Interface) ipvip я не помню использовал ли я там OSPF, но возможно там вы найдёте косвенно ответы на свои вопросы, ещё раз предупреждаю, цели объяснить протоколы дин. маршрутизации не-было.
@Andre4s123 Жыл бұрын
@@user-de9qh7sm4r значит будет все таки в уроках gre over ipsec,а в каком именно?
@user-de9qh7sm4r Жыл бұрын
@@Andre4s123 Будет, в каком именно уроке точно не скажу, я этот курс создавал из головы и текстового документа ), беда моя в том что я не создавал структуру курса и не подходил к вопросу один-урок-одна-тема, по этому к сожалению я точно сказать не могу)
@Andre4s123 Жыл бұрын
@@user-de9qh7sm4r ладно, все равно лучше в рунете не видел
@romangorkusha6178 Жыл бұрын
очень много информационного шума... из полутора часов видео полезны от силы 15 минут. "Роутер посылает .. политику .... 1.... политику 1... окей... таким образом....пример.... для этого мне падобиться что?" зачем все эти слова?
@user-de9qh7sm4r Жыл бұрын
И вам добрый день, укажите тайм-слот, где вы считаете что было много информационного шума, и какие именно 15 минуты вы считаете полезными из полуторачасового видео ?
@talgat857211 ай бұрын
Не надо писать ради того чтобы что-нибудь написать, это самое лучшее объяснение которое я слышал. Спасибо за труд.
@Andre4s123 Жыл бұрын
Спасибо огромное!
@user-fp2nn7pr8v Жыл бұрын
Мужик, очень хорош, продолжай заниматься тем что нравится, красава
@eightuponatime Жыл бұрын
Шикарное объяснение! Огромное спасибо!
@mosyan4ik Жыл бұрын
Спасибо большое! Очень рад что нашёл это видео
@elizavetasheveleva2859 Жыл бұрын
Проблема с пробрасыванием порта это bug: CSCsj29841 на старых прошивках Cisco. Можно обойти, если удалить адрес с интерфейса и ребутнуть роутер, а потом прописать проброс и настройить адрес на итерфейсе заново.
@NordPlay1 Жыл бұрын
51:22, при дешифрованние? Я правильно понял? ...
@ffomka2 жыл бұрын
Добрый день! Спасибо за труды, но остался незакрытым вопрос в части 25:50 - 28:10 про sig-i. А что будет мешать хакеру при митм, имея сертификат на руках, перехватывать sig-i валидный от р1 и вставлять в свою фазу инициализации? тогда вся валидация будет пройдена, кмк
@elizavetasheveleva28592 жыл бұрын
Огромное спасибо за ваш труд! Было бы здорово, если бы названия уроков отражали темы, которые вы в них освещаете.
@user-uq4ix5ie3q2 жыл бұрын
Ура, я понял этот алгоритм! Благодарю вас за труд! Снимите пожалуйста видео по алгоритму "Кузнечик"! У вас одно из самых топовых объяснений на KZfaq.
@user-de9qh7sm4r2 жыл бұрын
Былоб время, я уже обещал что запишу видео по протоколу Spanning Tree Protocol, <--- это больше необходимо для сетевых инженеров, я так понимаю что вы программист раз вас заинтересовал DES, я и разбираю логику его работы с уклоном в программирование, для племянника .) Отдам долги по STP, подумаю и об Кузнечике ) Спасибо за похвалу, очень приятно что пригодилось видео вам)
@user-uq4ix5ie3q2 жыл бұрын
@@user-de9qh7sm4r Я немного пишу на PHP, на данный момент прохожу переподготовку на специалиста по защите информации. Начался модуль шифрование. И к сожалению этот модуль очень плохо преподают. А на носу сдача реферата. Нужно сделать сравнение двух гостовых алгоритмов (кузнечик и Стрибог) и каких-нибудь двух иностранных, вот думаю какие выбрать)))
@user-de9qh7sm4r2 жыл бұрын
@@user-uq4ix5ie3q Если идти по простому пути в сжатые сроки, я бы выбрал из иностранных DES и 3DES )), это одно и тоже самое, просто 3DES делает это три раза. В момент шифрования он - шифрует, дешифрует, а потом снова шифрует. В момент дешифрования он - дешифрует, шифрует, а потом снова дешифрует. Делает он эти операции ровно так-же как и обычный DES который в этом видео представлен. Если идти по не простому пути, для будущего развития хорошо было бы сравнить DES и AES.
@user-uq4ix5ie3q2 жыл бұрын
@@user-de9qh7sm4r я тоже так хотел сделать. Но нам дали тему сравнить 2 отечественных шифра, магма и ГОСТ, и des и aes и все между собой 😀
@user-uq4ix5ie3q2 жыл бұрын
Сдается, что этот алгоритм придумали под LSD
@user-de9qh7sm4r2 жыл бұрын
Не исключено! 🙃😀
@user-uq4ix5ie3q2 жыл бұрын
Благодарю!👍🏻
@user-uq4ix5ie3q2 жыл бұрын
Спасибо 👍🏻
@MrWesadex2 жыл бұрын
Александр, добрый день! Я только что закончил смотреть ваш курс по IPSec и хотел бы, чтобы вы знали, что ваш труд был не напрасен. Курс очень толковый, и хоть я и не начинающий админ давно, но пробелы в знаниях по теме были, а теперь их нет - курс все расставил по местам. Спасибо вам за это! Разослал ссылку на курс всем своим коллегам - надеюсь им он поможет так же, как мне, если конечно у них хватит терпения. С удовольствием посмотрел бы еще что-то подобное про... ну не знаю, про STP, например, или про AAA - тоже весьма непростая тема.
@user-de9qh7sm4r2 жыл бұрын
Добрый день, рад что этот курс оказался полезен для вас, и что вам хватило терпения на него ) Были планы и дальше по некоторым протоколам, STP как раз был в планах, но как-то всё завертелось и пришлось отложить, думаю запишу курс и по нему в ближайшее время 😉 Спасибо большое про фидбэк, очень приятно )
@yatakhocu42916 ай бұрын
Присоединяюсь! Про STP и AAA в вашем изложении послушал бы с большим удовольствием!
@user-ny4zq9vg8v2 жыл бұрын
Здравствуйте! А где можно взять картинки, на которых вы показываете?
@user-de9qh7sm4r2 жыл бұрын
Здравствуйте!, если честно уже и не вспомню, большинство картинок я брал по запросу в гугл на тему которую хотел раскрыть в видео.
@vig0gne3 жыл бұрын
Проблема была всего лишь в том, что Вы отозвали сертификат самого СА, со словами типа "Смотрите, я и свой сертификат могу отозвать". А отмену отзыва не сделали. Естественно, никто не может валидировать всю цепочку сертификатов.
@user-de9qh7sm4r3 жыл бұрын
Привет, в начале 12-ой части подробно разбираю проблему NTP в лаборатории Eve-ng , которая и была причиной того что возникли проблемы, беда была в самой Eve-ng, в ней происходит раз-синхронизация протокола - чего я не знал на момент записи этой части. )
@vig0gne3 жыл бұрын
@@user-de9qh7sm4r Да, я просмотрел и 12-ю часть уже. И, конечно, видел эти проблемы с NTP, EVE-NG вообще занятная штука в плане глюков :)) Но, если заметите, ошибка там, где у Вас воспроизводилась ошибка с рассинхроном (ближе к концу) там ошибка была совсем другая, и явно говорила о проблемах со временем. А в этой части ошибка была о невозможности валидировать именно СА. P.S. Спасибо Вам огромное за Ваш труд. Сам с удовольствием просмотрел (и смотрю еще), хоть и знал теорию, но на практике настолько полно не применял, и многим уже посоветовал к просмотру, когда спрашивают про IPSEC или PKI.
@user-de9qh7sm4r3 жыл бұрын
@@vig0gne Я думаю что вы правы, но то что я видел это ошибка проверки CA сертификата и выше пишет "Is not yet valid, Validity period starts on 15:30:56" kzfaq.info/get/bejne/a5lmfpWitqyzlJ8.html Дайте ссылку с таймкодом пожалуйста, если вы имеете ввиду другую ошибку )
@vig0gne3 жыл бұрын
@@user-de9qh7sm4r А похоже, что Вы действительно правы. Я при первом просмотре не останавливал видео, и наверное не увидел, как вы unrevoke'нули сертификат под номером 124 (CA Cert), но четко видел, как revoke'нули. :)) Соответственно и ошибки я уже видел с этой точки зрения, не замечая другой. А вот тут kzfaq.info/get/bejne/a5lmfpWitqyzlJ8.html на паузе, увидел и то, что 124 выпущен позднее, чем подписанные им последующие сертификаты, ну и последующие ошибки о несоответствии периода валидации. В общем, прощу прощения за такой "наезд" :)
@user-de9qh7sm4r3 жыл бұрын
@@vig0gne Рад что вы нашли полезную сторону для себя )
@Q_School3 жыл бұрын
rahmat sizga katta.
@Q_School3 жыл бұрын
rahmat
@Q_School3 жыл бұрын
rahmat aka sizga
@dmnsrk3 жыл бұрын
Спасибо большое за качественный материал
@asd1235183 жыл бұрын
Спасибо за контент )
@100po4talion0013 жыл бұрын
Спасибо за видео. Интересная тема. О сложном простыми словами... Хотя что тут сложного когда все понятно... 😀 👍